Peneliti ESET telah menganalisis dua kampanye yang dilakukan oleh kelompok OilRig APT: Outer Space (2021), dan Juicy Mix (2022). Kedua kampanye spionase dunia maya ini menargetkan organisasi-organisasi Israel secara eksklusif, yang sejalan dengan fokus kelompok tersebut di Timur Tengah, dan menggunakan pedoman yang sama: OilRig pertama-tama menyusupi situs web yang sah untuk digunakan sebagai server C&C dan kemudian menggunakan dropper VBS untuk mengirimkan C# /.NET melakukan backdoor kepada korbannya, sekaligus menerapkan berbagai alat pasca-kompromi yang sebagian besar digunakan untuk eksfiltrasi data pada sistem target.
Dalam kampanye Luar Angkasa mereka, OilRig menggunakan pintu belakang C#/.NET sederhana yang sebelumnya tidak terdokumentasikan yang kami beri nama Solar, bersama dengan pengunduh baru, SampleCheck5000 (atau SC5k), yang menggunakan API Layanan Web Microsoft Office Exchange untuk komunikasi C&C. Untuk kampanye Juicy Mix, pelaku ancaman menyempurnakan Solar untuk membuat pintu belakang Mango, yang memiliki kemampuan tambahan dan metode kebingungan. Selain mendeteksi perangkat berbahaya, kami juga memberi tahu CERT Israel tentang situs web yang disusupi.
Poin-poin penting dari blogpost ini:
- ESET mengamati dua kampanye OilRig yang terjadi sepanjang tahun 2021 (Luar Angkasa) dan 2022 (Juicy Mix).
- Operator tersebut secara eksklusif menargetkan organisasi-organisasi Israel dan menyusupi situs-situs resmi Israel untuk digunakan dalam komunikasi C&C mereka.
- Mereka menggunakan backdoor tahap pertama C#/.NET baru yang sebelumnya tidak terdokumentasi di setiap kampanye: Solar in Outer Space, lalu penggantinya Mango di Juicy Mix.
- Kedua pintu belakang tersebut digunakan oleh dropper VBS, yang mungkin disebarkan melalui email spearphishing.
- Berbagai alat pasca-kompromi diterapkan di kedua kampanye, terutama pengunduh SC5k yang menggunakan API Layanan Web Microsoft Office Exchange untuk komunikasi C&C, dan beberapa alat untuk mencuri data browser dan kredensial dari Windows Credential Manager.
OilRig, juga dikenal sebagai APT34, Lyceum, atau Siamesekitten, adalah kelompok spionase dunia maya yang telah aktif setidaknya sejak tahun 2014 dan diyakini secara umum untuk berbasis di Iran. Kelompok ini menargetkan pemerintah Timur Tengah dan berbagai sektor bisnis, termasuk kimia, energi, keuangan, dan telekomunikasi. OilRig melakukan kampanye DNSpionage di 2018 dan 2019, yang menargetkan korban di Lebanon dan Uni Emirat Arab. Pada tahun 2019 dan 2020, OilRig melanjutkan serangan dengan Lulus Keras kampanye, yang menggunakan LinkedIn untuk menargetkan korban Timur Tengah di sektor energi dan pemerintahan. Pada tahun 2021, OilRig memperbaruinya DanBot pintu belakang dan mulai mengerahkan Hiu, Milan, dan pintu belakang Marlin, disebutkan di Edisi T3 2021 dari Laporan Ancaman ESET.
Dalam postingan blog ini, kami menyediakan analisis teknis tentang backdoor Solar dan Mango, dropper VBS yang digunakan untuk mengirimkan Mango, dan alat pasca-kompromi yang diterapkan di setiap kampanye.
Atribusi
Tautan awal yang memungkinkan kami menghubungkan kampanye Luar Angkasa ke OilRig adalah penggunaan dumper data Chrome khusus yang sama (dilacak oleh peneliti ESET dengan nama MKG) seperti pada Kampanye Keluar ke Laut. Kami mengamati pintu belakang Solar menyebarkan sampel MKG yang sama seperti di Out to Sea pada sistem target, bersama dengan dua varian lainnya.
Selain tumpang tindih dalam alat dan penargetan, kami juga melihat beberapa kesamaan antara pintu belakang Solar dan pintu belakang yang digunakan di Out to Sea, sebagian besar terkait dengan pengunggahan dan pengunduhan: Solar dan Shark, pintu belakang OilRig lainnya, menggunakan URI dengan skema pengunggahan dan pengunduhan sederhana untuk berkomunikasi dengan server C&C, dengan “d” untuk download dan “u” untuk upload; Selain itu, downloader SC5k menggunakan subdirektori upload dan download sama seperti backdoor OilRig lainnya yaitu ALMA, Shark, DanBot, dan Milan. Temuan ini menjadi konfirmasi lebih lanjut bahwa pelaku di balik Luar Angkasa memang adalah OilRig.
Mengenai hubungan kampanye Juicy Mix dengan OilRig, selain menargetkan organisasi Israel – yang merupakan ciri khas kelompok spionase ini – terdapat kesamaan kode antara Mango, pintu belakang yang digunakan dalam kampanye ini, dan Solar. Selain itu, kedua pintu belakang digunakan oleh dropper VBS dengan teknik kebingungan string yang sama. Pilihan alat pasca-kompromi yang digunakan dalam Juicy Mix juga mencerminkan kampanye OilRig sebelumnya.
Ikhtisar kampanye Luar Angkasa
Dinamakan berdasarkan penggunaan skema penamaan berbasis astronomi dalam nama fungsi dan tugasnya, Luar Angkasa adalah kampanye OilRig mulai tahun 2021. Dalam kampanye ini, kelompok tersebut menyusupi situs sumber daya manusia Israel dan kemudian menggunakannya sebagai server C&C untuk situs sebelumnya. pintu belakang C#/.NET tidak berdokumen, Solar. Solar adalah pintu belakang sederhana dengan fungsi dasar seperti membaca dan menulis dari disk, dan mengumpulkan informasi.
Melalui Solar, grup ini kemudian menyebarkan pengunduh baru SC5k, yang menggunakan API Layanan Web Office Exchange untuk mengunduh alat tambahan untuk eksekusi, seperti yang ditunjukkan pada REF _Ref142655526 jam Angka 1
. Untuk mengekstraksi data browser dari sistem korban, OilRig menggunakan dumper data Chrome yang disebut MKG.
Ikhtisar kampanye Juicy Mix
Pada tahun 2022 OilRig meluncurkan kampanye lain yang menargetkan organisasi-organisasi Israel, kali ini dengan perangkat yang diperbarui. Kami menamai kampanye Juicy Mix karena penggunaan pintu belakang OilRig baru, Mango (berdasarkan nama rakitan internalnya, dan nama filenya, Mangga.exe). Dalam kampanye ini, pelaku ancaman menyusupi situs portal pekerjaan Israel yang sah untuk digunakan dalam komunikasi C&C. Alat jahat kelompok ini kemudian dikerahkan untuk menyerang organisasi layanan kesehatan, yang juga berbasis di Israel.
Pintu belakang tahap pertama Mango adalah penerus Solar, juga ditulis dalam C#/.NET, dengan perubahan penting yang mencakup kemampuan eksfiltrasi, penggunaan API asli, dan penambahan kode penghindaran deteksi.
Selain Mango, kami juga mendeteksi dua dumper data browser yang sebelumnya tidak terdokumentasikan yang digunakan untuk mencuri cookie, riwayat penelusuran, dan kredensial dari browser Chrome dan Edge, serta pencuri Windows Credential Manager, yang semuanya kami kaitkan dengan OilRig. Semua alat ini digunakan untuk menargetkan target yang sama seperti Mango, serta organisasi Israel lainnya yang dikompromikan sepanjang tahun 2021 dan 2022. REF _Ref125475515 jam Angka 2
menunjukkan gambaran umum tentang bagaimana berbagai komponen digunakan dalam kampanye Juicy Mix.
Analisis teknis
Di bagian ini, kami memberikan analisis teknis tentang pintu belakang Solar dan Mango dan pengunduh SC5k, serta alat lain yang diterapkan ke sistem yang ditargetkan dalam kampanye ini.
Penetes VBS
Untuk membangun pijakan pada sistem target, dropper Visual Basic Script (VBS) digunakan di kedua kampanye, yang kemungkinan besar disebarkan melalui email spearphishing. Analisis kami di bawah ini berfokus pada skrip VBS yang digunakan untuk menjatuhkan Mango (SHA-1: 3699B67BF4E381847BF98528F8CE2B966231F01A); perhatikan bahwa penetes Solar sangat mirip.
Tujuan dropper adalah mengirimkan pintu belakang Mango yang tertanam, menjadwalkan tugas untuk persistensi, dan mendaftarkan kompromi ke server C&C. Pintu belakang yang tertanam disimpan sebagai serangkaian substring base64, yang digabungkan dan didekodekan base64. Seperti yang ditunjukkan di REF _Ref125477632 jam Angka 3
, skrip juga menggunakan teknik deobfuscation string sederhana, di mana string dirangkai menggunakan operasi aritmatika dan chr fungsi.
Selain itu, dropper VBS Mango menambahkan jenis kebingungan string dan kode lain untuk mengatur persistensi dan mendaftar ke server C&C. Seperti yang ditunjukkan di REF _Ref125479004 jam * GABUNGAN FORMAT Angka 4
, untuk mengaburkan beberapa string, skrip menggantikan karakter apa pun dalam kumpulan #*+-_)(}{@$%^& dengan 0, lalu membagi string menjadi tiga digit angka yang kemudian diubah menjadi karakter ASCII menggunakan chr
fungsi. Misalnya saja stringnya 116110101109117+99111$68+77{79$68}46-50108109120115}77 diterjemahkan menjadi Msxml2.DOMDokumen.
Setelah pintu belakang tertanam pada sistem, dropper melanjutkan untuk membuat tugas terjadwal yang mengeksekusi Mango (atau Solar, di versi lain) setiap 14 menit. Terakhir, skrip mengirimkan nama komputer yang disusupi dengan kode base64 melalui permintaan POST untuk mendaftarkan pintu belakang ke server C&C-nya.
Pintu belakang tenaga surya
Tenaga surya adalah pintu belakang yang digunakan dalam kampanye Luar Angkasa OilRig. Memiliki fungsi dasar, pintu belakang ini dapat digunakan untuk, antara lain, mengunduh dan mengeksekusi file, dan secara otomatis mengekstraksi file yang dipentaskan.
Kami memilih nama Solar berdasarkan nama file yang digunakan oleh OilRig, Solar.exe. Ini adalah nama yang pas karena pintu belakang menggunakan skema penamaan astronomi untuk nama fungsi dan tugas yang digunakan di seluruh biner (air raksa, Venus, Maret, Bumi, dan Jupiter).
Solar memulai eksekusi dengan melakukan langkah-langkah yang ditunjukkan pada REF _Ref98146919 jam * GABUNGAN FORMAT Angka 5
.
Pintu belakang menciptakan dua tugas, Bumi
dan Venus, yang berjalan di memori. Tidak ada fungsi stop untuk salah satu dari kedua tugas tersebut, sehingga tugas tersebut akan berjalan tanpa batas waktu. Bumi
dijadwalkan untuk berjalan setiap 30 detik dan Venus
diatur untuk berjalan setiap 40 detik.
Bumi adalah tugas utama yang bertanggung jawab atas sebagian besar fungsi Solar. Ini berkomunikasi dengan server C&C menggunakan fungsi tersebut MerkuriKeMatahari, yang mengirimkan informasi sistem dasar dan versi malware ke server C&C dan kemudian menangani respons server. Bumi mengirimkan info berikut ke server C&C:
- Tali (@); seluruh string dienkripsi.
- Tali 1.0.0.0, dienkripsi (mungkin nomor versi).
- Tali 30000, dienkripsi (mungkin waktu proses yang dijadwalkan Bumi
Enkripsi dan dekripsi diimplementasikan dalam fungsi bernama JupiterE
dan JupiterD, masing-masing. Keduanya memanggil fungsi bernama JupiterX, yang mengimplementasikan loop XOR seperti yang ditunjukkan pada REF _Ref98146962 jam Angka 6
.
Kuncinya berasal dari variabel string global yang dikodekan secara hardcode, 6sEj7*0B7#7, Dan duta paus: dalam hal ini, string hex acak sepanjang 2–24 karakter. Setelah enkripsi XOR, pengkodean base64 standar diterapkan.
Server web perusahaan sumber daya manusia Israel, yang pernah dikompromikan oleh OilRig sebelum menerapkan Solar, digunakan sebagai server C&C:
http://organization.co[.]il/project/templates/office/template.aspx?rt=d&sun=<encrypted_MachineGuid>&rn=<encryption_nonce>
Sebelum ditambahkan ke URI, nonce enkripsi dienkripsi, dan nilai string kueri awal, rt, diatur ke d di sini, kemungkinan untuk "unduh".
Langkah terakhir dari MerkuriKeMatahari
fungsinya adalah memproses respon dari server C&C. Ia melakukannya dengan mengambil substring dari respons, yang ditemukan di antara karakter QQ@ dan @kk. Respons ini berupa rangkaian instruksi yang dipisahkan dengan tanda bintang (*) yang diproses menjadi array. Bumi
kemudian menjalankan perintah pintu belakang, yang mencakup mengunduh muatan tambahan dari server, membuat daftar file di sistem korban, dan menjalankan file executable tertentu.
Output perintah kemudian dikompresi gzip menggunakan fungsi tersebut Neptunus
dan dienkripsi dengan kunci enkripsi yang sama dan nonce baru. Kemudian hasilnya diupload ke server C&C, dengan demikian:
http://<redacted>.co[.]il/project/templates/office/template.aspx?rt=u&sun=<MachineGuid>&rn=<new_nonce>
Panduan Mesin dan nonce baru dienkripsi dengan JupiterE
fungsi, dan di sini nilai rt diatur ke u, kemungkinan untuk "upload".
Venus, tugas terjadwal lainnya, digunakan untuk eksfiltrasi data otomatis. Tugas kecil ini menyalin konten file dari direktori (juga dinamai Venus) ke server C&C. File-file ini kemungkinan besar dibuang ke sini oleh alat OilRig lain yang belum teridentifikasi. Setelah mengunggah file, tugas menghapusnya dari disk.
Pintu belakang mangga
Untuk kampanye Juicy Mix-nya, OilRig beralih dari backdoor Solar ke Mango. Ini memiliki alur kerja yang mirip dengan Solar dan kemampuan yang tumpang tindih, namun ada beberapa perubahan penting:
- Penggunaan TLS untuk komunikasi C&C.
- Penggunaan API asli, bukan API .NET, untuk menjalankan file dan perintah shell.
- Meskipun tidak digunakan secara aktif, kode penghindaran deteksi telah diperkenalkan.
- Dukungan untuk eksfiltrasi otomatis (Venus
- Dukungan untuk mode log telah dihapus, dan nama simbol telah dikaburkan.
Bertentangan dengan skema penamaan bertema astronomi Solar, Mango mengaburkan nama simbolnya, seperti yang dapat dilihat pada REF _Ref142592880 jam Angka 7
.
Selain kebingungan nama simbol, Mango juga menggunakan metode penumpukan string (seperti yang ditunjukkan pada REF _Ref142592892 jam Angka 8
REF _Ref141802299 jam
) untuk mengaburkan string, sehingga mempersulit penggunaan metode deteksi sederhana.
Mirip dengan Solar, pintu belakang Mango dimulai dengan membuat tugas di dalam memori, yang dijadwalkan untuk dijalankan tanpa batas waktu setiap 32 detik. Tugas ini berkomunikasi dengan server C&C dan menjalankan perintah pintu belakang, mirip dengan Solar Bumi
tugas. Sementara Solar juga menciptakan Venus, tugas untuk eksfiltrasi otomatis, fungsi ini telah digantikan di Mango dengan perintah pintu belakang baru.
Dalam tugas utama, Mango pertama-tama membuat pengidentifikasi korban, , untuk digunakan dalam komunikasi C&C. ID dihitung sebagai hash MD5 , diformat sebagai string heksadesimal.
Untuk meminta perintah pintu belakang, Mango kemudian mengirimkan stringnya D@ @ | ke server C&C http://www.darush.co[.]il/ads.asp – portal pekerjaan Israel yang sah, kemungkinan besar telah disusupi oleh OilRig sebelum kampanye ini. Kami memberi tahu organisasi CERT nasional Israel tentang kompromi tersebut.
Badan permintaan dibuat sebagai berikut:
- Data yang akan dikirim dienkripsi XOR menggunakan kunci enkripsi Tanya Jawab, lalu dikodekan base64.
- String pseudorandom yang terdiri dari 3–14 karakter dihasilkan dari alfabet ini (seperti yang terlihat dalam kode): i8p3aEeKQbN4klFMHmcC2dU9f6gORGIhDBLS0jP5Tn7o1AVJ.
- Data terenkripsi dimasukkan dalam posisi pseudorandom dalam string yang dihasilkan, diapit di antaranya [@ dan @] pembatas.
Untuk berkomunikasi dengan server C&C, Mango menggunakan protokol TLS (Transport Layer Security), yang digunakan untuk menyediakan lapisan enkripsi tambahan.
Demikian pula, perintah pintu belakang yang diterima dari server C&C dienkripsi XOR, dikodekan base64, dan kemudian diapit di antara [@ dan @] dalam badan respons HTTP. Perintahnya sendiri adalah keduanya NCNT
(dalam hal ini tidak ada tindakan yang diambil), atau serangkaian beberapa parameter yang dibatasi oleh
@, sebagaimana dirinci dalam REF _Ref125491491 jam tabel 1
, yang mencantumkan perintah pintu belakang Mango. Perhatikan itu tidak tercantum dalam tabel, tetapi digunakan sebagai respons ke server C&C.
Tabel 1. Daftar perintah backdoor Mango
arg1 |
arg2 |
arg3 |
Tindakan diambil |
Nilai kembali |
|
1 atau string kosong |
+sp |
N / A |
Jalankan perintah file/shell yang ditentukan (dengan argumen opsional), menggunakan yang asli BuatProses API diimpor melalui DllImpor. Jika argumennya mengandung [S], diganti dengan C: WindowsSystem32. |
Keluaran perintah. |
|
+tidak |
N / A |
Mengembalikan string versi malware dan URL C&C. |
|; pada kasus ini: 1.0.0|http://www.darush.co[.]il/ads.asp |
||
+fl |
N / A |
Menghitung konten direktori tertentu (atau direktori kerja saat ini). |
Direktori dari Untuk setiap subdirektori:
Untuk setiap berkas: MENGAJUKAN Dir Berkas |
||
+dn |
N / A |
Mengunggah konten file ke server C&C melalui permintaan HTTP POST baru yang diformat: kamu@ @ | @ @2@. |
Satu dari: · mengajukan[ ] diunggah ke server. · berkas tidak ditemukan! · jalur file kosong! |
||
2 |
Data yang dikodekan Base64 |
Filename |
Membuang data yang ditentukan ke dalam file di direktori kerja. |
file diunduh ke jalur[ ] |
Setiap perintah pintu belakang ditangani di thread baru, dan nilai kembaliannya kemudian dikodekan base64 dan digabungkan dengan metadata lainnya. Terakhir, string tersebut dikirim ke server C&C menggunakan protokol dan metode enkripsi yang sama seperti dijelaskan di atas.
Teknik penghindaran deteksi yang tidak digunakan
Menariknya, kami menemukan yang tidak terpakai teknik penghindaran deteksi dalam Mangga. Fungsi yang bertanggung jawab untuk mengeksekusi file dan perintah yang diunduh dari server C&C mengambil parameter opsional kedua – ID proses. Jika disetel, Mango kemudian menggunakan PerbaruiProcThreadAttribute
API untuk mengatur PROC_THREAD_ATTRIBUTE_MITIGATION_POLICY (0x20007) atribut untuk proses yang ditentukan untuk dinilai: PROCESS_CREATION_MITIGATION_POLICY_BLOCK_NON_MICROSOFT_BINARIES_ALWAYS_ON (0x100000000000), seperti yang ditunjukkan pada REF _Ref125480118 jam Angka 9
.
Tujuan teknik ini adalah untuk memblokir solusi keamanan titik akhir agar tidak memuat kait kode mode pengguna melalui DLL dalam proses ini. Meskipun parameter tersebut tidak digunakan dalam sampel yang kami analisis, parameter tersebut dapat diaktifkan di versi mendatang.
versi 1.1.1
Tidak terkait dengan kampanye Juicy Mix, pada Juli 2023 kami menemukan versi baru pintu belakang Mango (SHA-1: C9D18D01E1EC96BE952A9D7BD78F6BBB4DD2AA2A), diunggah ke VirusTotal oleh beberapa pengguna dengan nama tersebut Menorah.exe. Versi internal dalam sampel ini diubah dari 1.0.0 menjadi 1.1.1, namun satu-satunya perubahan penting adalah penggunaan server C&C yang berbeda, http://tecforsc-001-site1.gtempurl[.]com/ads.asp.
Bersamaan dengan versi ini, kami juga menemukan dokumen Microsoft Word (SHA-1: 3D71D782B95F13EE69E96BCF73EE279A00EAE5DB) dengan makro jahat yang menjatuhkan pintu belakang. REF _Ref143162004 jam Angka 10
menampilkan pesan peringatan palsu, yang membujuk pengguna untuk mengaktifkan makro untuk dokumen, dan konten umpan yang ditampilkan setelahnya, saat kode berbahaya berjalan di latar belakang.
Gambar 10. Dokumen Microsoft Word dengan makro berbahaya yang menjatuhkan Mango v1.1.1
Alat pasca-kompromi
Pada bagian ini, kami meninjau pilihan alat pasca-kompromi yang digunakan dalam kampanye Luar Angkasa dan Juicy Mix OilRig, yang bertujuan untuk mengunduh dan mengeksekusi muatan tambahan, dan mencuri data dari sistem yang disusupi.
Pengunduh SampleCheck5000 (SC5k).
SampleCheck5000 (atau SC5k) adalah pengunduh yang digunakan untuk mengunduh dan menjalankan alat OilRig tambahan, terkenal karena menggunakan API Layanan Web Microsoft Office Exchange untuk komunikasi C&C: penyerang membuat draf pesan di akun email ini dan menyembunyikan perintah pintu belakang di sana. Selanjutnya, pengunduh masuk ke akun yang sama, dan mem-parsing draft untuk mengambil perintah dan payload untuk dieksekusi.
SC5k menggunakan nilai yang telah ditentukan sebelumnya – URL Microsoft Exchange, alamat email, dan kata sandi – untuk masuk ke server Exchange jarak jauh, tetapi juga mendukung opsi untuk menimpa nilai-nilai ini menggunakan file konfigurasi di direktori kerja saat ini bernama pengaturan.kunci. Kami memilih nama SampleCheck5000 berdasarkan salah satu alamat email yang digunakan alat tersebut dalam kampanye Luar Angkasa.
Setelah SC5k masuk ke server Exchange jarak jauh, SCXNUMXk akan mengambil semua email di Konsep
direktori, urutkan berdasarkan yang terbaru, simpan hanya draf yang memiliki lampiran. Kemudian mengulangi setiap draf pesan dengan lampiran, mencari lampiran JSON yang berisi "data" di dalam tubuh. Ini mengekstrak nilai dari kunci data dalam file JSON, base64 mendekode dan mendekripsi nilai, dan memanggil cmd.exe untuk mengeksekusi string baris perintah yang dihasilkan. SC5k kemudian menyimpan output dari cmd.exe
eksekusi ke variabel lokal.
Sebagai langkah berikutnya dalam loop, pengunduh melaporkan hasilnya ke operator OilRig dengan membuat pesan email baru di server Exchange dan menyimpannya sebagai draf (tidak dikirim), seperti yang ditunjukkan pada gambar REF _Ref98147102
h * GABUNGAN FORMAT Angka 11
. Teknik serupa digunakan untuk mengekstrak file dari folder pementasan lokal. Sebagai langkah terakhir dalam loop, SC5k juga mencatat output perintah dalam format terenkripsi dan terkompresi pada disk.
Dumper data browser
Merupakan karakteristik operator OilRig untuk menggunakan dumper data browser dalam aktivitas pasca-kompromi mereka. Kami menemukan dua pencuri data browser baru di antara alat pasca-kompromi yang diterapkan dalam kampanye Juicy Mix bersama pintu belakang Mango. Mereka membuang data browser yang dicuri ke dalam % TEMP% direktori ke dalam file bernama pembaruan
dan Pembaruan
(maka nama kami untuk mereka: CDumper dan EDumper).
Kedua alat tersebut adalah pencuri data browser C#/.NET, mengumpulkan cookie, riwayat penelusuran, dan kredensial dari browser Chrome (CDumper) dan Edge (EDumper). Kami memfokuskan analisis kami pada CDumper, karena kedua pencuri tersebut secara praktis identik, kecuali beberapa konstanta.
Saat dijalankan, CDumper membuat daftar pengguna yang menginstal Google Chrome. Saat eksekusi, pencuri terhubung ke Chrome SQLite Cookie, Sejarah
dan Data Login database di bawah %APPDATA%Data Pengguna GoogleChrome Lokal, dan mengumpulkan data browser termasuk URL yang dikunjungi dan login yang disimpan, menggunakan kueri SQL.
Nilai cookie kemudian didekripsi, dan semua informasi yang dikumpulkan ditambahkan ke file log bernama C:Pengguna Pembaruan AppDataLocalTempC, dalam teks yang jelas. Fungsionalitas ini diimplementasikan dalam fungsi CDumper yang diberi nama Ambil kue
(Lihat REF _Ref126168131 jam Angka 12
), SejarahGrab, dan Ambil Kata Sandi. Perhatikan bahwa tidak ada mekanisme eksfiltrasi yang diterapkan di CDumper, tetapi Mango dapat mengeksfiltrasi file yang dipilih melalui perintah pintu belakang.
Baik di Luar Angkasa maupun sebelumnya Ke laut kampanye, OilRig menggunakan dumper data Chrome C/C++ yang disebut MKG. Seperti CDumper dan EDumper, MKG juga mampu mencuri nama pengguna dan kata sandi, riwayat penelusuran, dan cookie dari browser. Dumper data Chrome ini biasanya diterapkan di lokasi file berikut (lokasi pertama adalah yang paling umum):
- %USERS%publicprogramsvmwaredir mkc.exe
- %PENGGUNA%PublikM64.exe
Pencuri Windows Credential Manager
Selain alat pembuangan data browser, OilRig juga menggunakan pencuri Windows Credential Manager dalam kampanye Juicy Mix. Alat ini mencuri kredensial dari Windows Credential Manager, dan mirip dengan CDumper dan EDumper, menyimpannya di % TEMP% direktori – kali ini ke dalam file bernama Pembaruan saya
(maka nama IDumper). Tidak seperti CDumper dan EDumper, IDumper diimplementasikan sebagai skrip PowerShell.
Seperti halnya alat dumper browser, tidak jarang OilRig mengumpulkan kredensial dari Windows Credential Manager. Sebelumnya operator OilRig diamati menggunakan VALUEVAULT, a tersedia untuk umum, Alat pencurian kredensial yang dikompilasi oleh Go (lihat Kampanye HardPass 2019 dan Kampanye 2020), untuk tujuan yang sama.
Kesimpulan
OilRig terus berinovasi dan menciptakan implan baru dengan kemampuan seperti pintu belakang sambil menemukan cara baru untuk menjalankan perintah pada sistem jarak jauh. Grup ini menyempurnakan pintu belakang C#/.NET Solar dari kampanye Luar Angkasa untuk membuat pintu belakang baru bernama Mango untuk kampanye Juicy Mix. Grup ini menyebarkan seperangkat alat pasca-kompromi khusus yang digunakan untuk mengumpulkan kredensial, cookie, dan riwayat penelusuran dari browser utama dan dari Windows Credential Manager. Terlepas dari inovasi ini, OilRig juga terus mengandalkan cara-cara yang sudah ada untuk mendapatkan data pengguna.
Untuk pertanyaan apa pun tentang penelitian kami yang dipublikasikan di WeLiveSecurity, silakan hubungi kami di ancamanintel@eset.com.
ESET Research menawarkan laporan intelijen APT pribadi dan umpan data. Untuk setiap pertanyaan tentang layanan ini, kunjungi Intelijen Ancaman ESET .
IoC
File
SHA-1 |
Filename |
Nama deteksi ESET |
Deskripsi Produk |
3D71D782B95F13EE69E96BCF73EE279A00EAE5DB |
MyCV.doc |
VBA/OilRig.C |
Dokumen dengan makro berbahaya yang menjatuhkan Mango. |
3699B67BF4E381847BF98528F8CE2B966231F01A |
chrome_log.vbs |
VBS/TrojanDropper.Agent.PCC |
Penetes VBS. |
1DE4810A10FA2D73CC589CA403A4390B02C6DA5E |
Solar.exe |
MSIL/OilRig.E |
Pintu belakang tenaga surya. |
CB26EBDE498ECD2D7CBF1BC498E1BCBB2619A96C |
Mangga.exe |
MSIL/OilRig.E |
Pintu belakang mangga (v1.0.0). |
C9D18D01E1EC96BE952A9D7BD78F6BBB4DD2AA2A |
Menorah.exe |
MSIL/OilRig.E |
Pintu belakang mangga (v1.1.1). |
83419CBA55C898FDBE19DFAFB5B1B207CC443190 |
EdgeUpdater.exe |
MSIL/PSW.Agen.SXJ |
Pembuang data tepi. |
DB01095AFEF88138C9ED3847B5D8AF954ED7BBBC |
Gr.exe |
MSIL/PSW.Agen.SXJ |
Pembuang data Chrome. |
BE01C95C2B5717F39B550EA20F280D69C0C05894 |
ieupdater.exe |
PowerShell/PSW.Agent.AH |
Dumper Manajer Kredensial Windows. |
6A1BA65C9FD8CC9DCB0657977DB2B03DACDD8A2A |
mkc.exe |
Win64/PSW.Agen.AW |
MKG – Pembuang data Chrome. |
94C08A619AF2B08FEF08B131A7A59D115C8C2F7B |
mkkc.exe |
Win64/PSW.Agen.AW |
MKG – Pembuang data Chrome. |
CA53B8EB76811C1940D814AAA8FE875003805F51 |
cmk.exe |
Win64/PSW.Agen.AW |
MKG – Pembuang data Chrome. |
BE9B6ACA8A175DF61F2C75932E029F19789FD7E3 |
CCXProcess.exe |
MSIL/OilRig.A |
Pengunduh SC5k (versi 32-bit). |
2236D4DCF68C65A822FF0A2AD48D4DF99761AD07 |
acrotray.exe |
MSIL/OilRig.D |
Pengunduh SC5k (versi 64-bit). |
EA8C3E9F418DCF92412EB01FCDCDC81FDD591BF1 |
simpul.exe |
MSIL/OilRig.D |
Pengunduh SC5k (versi 64-bit). |
jaringan
IP |
Domain |
Penyedia hosting |
Pertama kali melihat |
Rincian |
199.102.48[.]42 |
tecforsc-001-site1.gtempurl[.]com |
MarquisNet |
2022-07-29 |
N / A |
Teknik ATT&CK MITER
Tabel ini dibuat menggunakan versi 13 dari kerangka MITRE ATT&CK.
Taktik |
ID |
Nama |
Deskripsi Produk |
Pengembangan Sumber Daya |
Infrastruktur Kompromi: Server |
Baik dalam kampanye Luar Angkasa maupun Juicy Mix, OilRig telah menyusupi situs web sah untuk menggunakan alat jahat dan untuk komunikasi C&C. |
|
Kembangkan Kemampuan: Malware |
OilRig telah mengembangkan pintu belakang khusus (Solar dan Mango), pengunduh (SC5k), dan seperangkat alat pencurian kredensial untuk digunakan dalam operasinya. |
||
Kemampuan Panggung: Unggah Malware |
OilRig telah mengunggah komponen berbahaya ke server C&C-nya, dan menyimpan file dan perintah yang sudah disiapkan sebelumnya di dalamnya Konsep direktori email akun Office 365 untuk diunduh dan dijalankan SC5k. |
||
Kemampuan Panggung: Alat Unggah |
OilRig telah mengunggah alat berbahaya ke server C&C-nya, dan menyimpan file-file yang sudah disiapkan sebelumnya di dalamnya Konsep direktori email akun Office 365 untuk diunduh dan dijalankan SC5k. |
||
Akses Awal |
Phishing: Lampiran Spearphishing |
OilRig mungkin mendistribusikan kampanye Luar Angkasa dan Campuran Juicy melalui email phishing dengan dropper VBS mereka terlampir. |
|
Execution |
Tugas/Pekerjaan Terjadwal: Tugas Terjadwal |
Alat IDumper, EDumper, dan CDumper OilRig menggunakan tugas terjadwal yang diberi nama yaitu, ed , dan cu untuk mengeksekusi diri mereka sendiri di bawah konteks pengguna lain. Solar dan Mango menggunakan tugas C#/.NET pada pengatur waktu untuk menjalankan fungsi utamanya secara berulang. |
|
Penerjemah Perintah dan Skrip: PowerShell |
Alat IDumper OilRig menggunakan PowerShell untuk eksekusi. |
||
Penerjemah Perintah dan Skrip: Windows Command Shell |
Penggunaan OilRig Solar, SC5k, IDumper, EDumper, dan CDumper cmd.exe untuk menjalankan tugas pada sistem. |
||
Penerjemah Perintah dan Skrip: Visual Basic |
OilRig menggunakan VBScript berbahaya untuk mengirimkan dan mempertahankan backdoor Solar dan Mango-nya. |
||
API asli |
Pintu belakang Mangga OilRig menggunakan BuatProses Windows API untuk eksekusi. |
||
Ketekunan |
Tugas/Pekerjaan Terjadwal: Tugas Terjadwal |
Dropper VBS OilRig menjadwalkan tugas bernama Tugas Pengingat untuk membangun persistensi pada backdoor Mango. |
|
Penghindaran Pertahanan |
Menyamar: Cocokkan Nama atau Lokasi yang Sah |
OilRig menggunakan nama file yang sah atau tidak berbahaya untuk malware-nya guna menyamarkan dirinya dari pembela dan perangkat lunak keamanan. |
|
File atau Informasi yang Dikaburkan: Pengemasan Perangkat Lunak |
OilRig telah digunakan Pengemas Skrip SAPIEN dan Obfuscator SmartAssembly untuk mengaburkan alat IDumpernya. |
||
File atau Informasi yang Dikaburkan: Muatan Tertanam |
Dropper VBS OilRig memiliki muatan berbahaya yang tertanam di dalamnya sebagai serangkaian substring base64. |
||
Menyamar: Tugas atau Layanan Penyamaran |
Agar tampak sah, dropper VBS Mango menjadwalkan tugas dengan deskripsi Mulai notepad pada waktu tertentu. |
||
Penghapusan Indikator: Kegigihan yang Jelas |
Alat pasca-kompromi OilRig menghapus tugas terjadwalnya setelah jangka waktu tertentu. |
||
Deobfuscate/Decode File atau Informasi |
OilRig menggunakan beberapa metode kebingungan untuk melindungi string dan muatan yang tertanam. |
||
Menumbangkan Kontrol Kepercayaan |
SC5k menggunakan Office 365, yang umumnya merupakan pihak ketiga tepercaya dan sering diabaikan oleh pembela HAM, sebagai situs pengunduhan. |
||
Merusak Pertahanan |
Pintu belakang Mango OilRig memiliki kemampuan (yang belum) digunakan untuk memblokir solusi keamanan titik akhir agar tidak memuat kode mode penggunanya dalam proses tertentu. |
||
Akses Kredensial |
Kredensial dari Penyimpanan Kata Sandi: Kredensial dari Peramban Web |
Alat khusus OilRig MKG, CDumper, dan EDumper dapat memperoleh kredensial, cookie, dan riwayat penelusuran dari browser Chrome dan Edge. |
|
Kredensial dari Penyimpanan Kata Sandi: Windows Credential Manager |
Alat pembuangan kredensial khusus OilRig, IDumper, dapat mencuri kredensial dari Windows Credential Manager. |
||
penemuan |
Penemuan Informasi Sistem |
Mango mendapatkan nama komputer yang disusupi. |
|
Penemuan File dan Direktori |
Mango memiliki perintah untuk menghitung konten direktori tertentu. |
||
Pemilik Sistem/Penemuan Pengguna |
Mango mendapatkan nama pengguna korban. |
||
Penemuan Akun: Akun Lokal |
Alat EDumper, CDumper, dan IDumper OilRig dapat menghitung semua akun pengguna di host yang disusupi. |
||
Penemuan Informasi Peramban |
MKG membuang riwayat dan bookmark Chrome. |
||
Komando dan Pengendalian |
Protokol Lapisan Aplikasi: Protokol Web |
Mango menggunakan HTTP dalam komunikasi C&C. |
|
Transfer Alat Masuk |
Mango memiliki kemampuan untuk mengunduh file tambahan dari server C&C untuk eksekusi selanjutnya. |
||
Kebingungan Data |
Solar dan SC5k menggunakan metode enkripsi XOR sederhana bersama dengan kompresi gzip untuk mengaburkan data saat diam dan dalam perjalanan. |
||
Layanan Web: Komunikasi Dua Arah |
SC5k menggunakan Office 365 untuk mengunduh file dari dan mengunggah file ke Konsep direktori di akun email yang sah. |
||
Pengodean Data: Pengodean Standar |
Solar, Mango, dan MKG base64 menerjemahkan data sebelum mengirimkannya ke server C&C. |
||
Saluran Terenkripsi: Kriptografi Simetris |
Mango menggunakan sandi XOR dengan kuncinya Tanya Jawab untuk mengenkripsi data dalam komunikasi C&C. |
||
Saluran Terenkripsi: Kriptografi Asimetris |
Mango menggunakan TLS untuk komunikasi C&C. |
||
exfiltration |
Eksfiltrasi Melalui Saluran C2 |
Mango, Solar, dan SC5k menggunakan saluran C&C mereka untuk eksfiltrasi. |
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
- PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
- PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
- PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
- Sumber: https://www.welivesecurity.com/en/eset-research/oilrigs-outer-space-juicy-mix-same-ol-rig-new-drill-pipes/
- :memiliki
- :adalah
- :bukan
- :Di mana
- $NAIK
- 1
- 10
- 11
- 12
- 13
- 14
- 15%
- 195
- 2014
- 2019
- 2020
- 2021
- 2022
- 2023
- 23
- 234
- 30
- 32
- 40
- 49
- 7
- 75
- 8
- 9
- a
- Sanggup
- Tentang Kami
- atas
- Akun
- Akun
- Tindakan
- aktif
- aktif
- kegiatan
- aktor
- menambahkan
- tambahan
- Tambahan
- Selain itu
- alamat
- alamat
- Menambahkan
- Setelah
- setelah itu
- terhadap
- Agen
- ditujukan
- Semua
- diizinkan
- ALMA
- sepanjang
- di samping
- Alfabet
- juga
- antara
- an
- analisis
- dianalisis
- dan
- Lain
- Apa pun
- api
- Lebah
- muncul
- muncul
- terapan
- APT
- Arab
- Emirat Arab
- arsip
- ADALAH
- argumen
- susunan
- AS
- dirakit
- Majelis
- astronomi
- At
- Serangan
- Otomatis
- secara otomatis
- pintu belakang
- backdoors
- latar belakang
- berdasarkan
- dasar
- BE
- menjadi
- sebelum
- mulai
- di belakang
- makhluk
- di bawah
- selain
- antara
- Memblokir
- tubuh
- bookmark
- kedua
- Browser
- browser
- Browsing
- dibangun di
- bisnis
- tapi
- by
- panggilan
- bernama
- Panggilan
- Kampanye
- Kampanye
- CAN
- kemampuan
- kemampuan
- dilakukan
- kasus
- tertentu
- perubahan
- berubah
- Perubahan
- Saluran
- saluran
- ciri
- karakter
- kimia
- pilihan
- memilih
- Chrome
- sandi
- jelas
- kode
- mengumpulkan
- Mengumpulkan
- COM
- bergabung
- Umum
- umum
- menyampaikan
- Komunikasi
- komunikasi
- Perusahaan
- komponen
- kompromi
- Dikompromikan
- komputer
- konfigurasi
- konfirmasi
- Terhubung
- menghubungkan
- kontak
- mengandung
- Konten
- konteks
- terus
- terus
- dikonversi
- kue
- bisa
- membuat
- menciptakan
- membuat
- penciptaan
- MANDAT
- Surat kepercayaan
- terbaru
- adat
- data
- database
- Dekripsi
- Pembela
- menyampaikan
- menyebarkan
- dikerahkan
- penggelaran
- menyebarkan
- Berasal
- dijelaskan
- deskripsi
- Meskipun
- terperinci
- terdeteksi
- Deteksi
- dikembangkan
- berbeda
- ditemukan
- penemuan
- ditampilkan
- didistribusikan
- membagi
- dokumen
- tidak
- Download
- download
- draf
- Menjatuhkan
- menjatuhkan
- Jatuhan
- Tetes
- membuang
- setiap
- Terdahulu
- Timur
- timur
- Tepi
- antara
- tertanam
- emirates
- dipekerjakan
- aktif
- terenkripsi
- enkripsi
- Titik akhir
- Keamanan endpoint
- energi
- menarik
- spionase
- menetapkan
- mapan
- penghindaran
- Setiap
- contoh
- Pasar Valas
- khusus
- menjalankan
- dieksekusi
- Laksanakan
- mengeksekusi
- eksekusi
- pengelupasan kulit
- Ekstrak
- gadungan
- File
- File
- Akhirnya
- keuangan
- temuan
- Temuan
- Pertama
- sesuai
- aliran
- Fokus
- berfokus
- berikut
- berikut
- Untuk
- format
- ditemukan
- Kerangka
- dari
- dari 2021
- fungsi
- fungsionalitas
- fungsi
- fungsi
- lebih lanjut
- masa depan
- pertemuan
- umumnya
- dihasilkan
- menghasilkan
- Aksi
- tujuan
- Google Chrome
- Pemerintah
- Pemerintah
- Kelompok
- Grup
- Menangani
- hash
- Memiliki
- kesehatan
- karenanya
- di sini
- HEX
- menyembunyikan
- sejarah
- kait
- tuan rumah
- Seterpercayaapakah Olymp Trade? Kesimpulan
- HTML
- http
- HTTPS
- manusia
- Sumber Daya Manusia
- ID
- identik
- identifier
- if
- gambar
- diimplementasikan
- mengimplementasikan
- ditingkatkan
- in
- memasukkan
- Termasuk
- memang
- Info
- informasi
- Infrastruktur
- mulanya
- berinovasi
- inovasi
- Pertanyaan
- diinstal
- sebagai gantinya
- instruksi
- Intelijen
- intern
- ke
- diperkenalkan
- Iran
- Israel
- IT
- NYA
- Diri
- Pekerjaan
- json
- Juli
- hanya
- pemeliharaan
- kunci
- dikenal
- Terakhir
- diluncurkan
- lapisan
- paling sedikit
- Libanon
- meninggalkan
- sah
- 'like'
- Mungkin
- baris
- LINK
- Daftar
- Daftar
- daftar
- daftar
- pemuatan
- lokal
- tempat
- lokasi
- mencatat
- Panjang
- mencari
- mesin
- Makro
- Macro
- Utama
- utama
- malware
- manajer
- Marlin
- menyamar
- Cocok
- MD5
- mekanisme
- Memori
- tersebut
- pesan
- pesan
- Metadata
- metode
- metode
- Microsoft
- Tengah
- Timur Tengah
- MILAN
- milidetik
- menit
- mencampur
- mode
- Selain itu
- paling
- kebanyakan
- bergerak
- beberapa
- nama
- Bernama
- yaitu
- nama
- penamaan
- nasional
- asli
- bersih
- Namun
- New
- berikutnya
- nisan
- tidak
- penting
- terutama
- jumlah
- nomor
- memperoleh
- memperoleh
- terjadi
- of
- Penawaran
- Office
- sering
- on
- ONE
- hanya
- Operasi
- operator
- pilihan
- or
- urutan
- organisasi
- organisasi
- Lainnya
- kami
- di luar
- luar angkasa
- keluaran
- lebih
- mengesampingkan
- ikhtisar
- halaman
- parameter
- parameter
- pihak
- Kata Sandi
- password
- path
- melakukan
- periode
- ketekunan
- Phishing
- plato
- Kecerdasan Data Plato
- Data Plato
- silahkan
- Titik
- poin
- Portal
- posisi
- mungkin
- Pos
- PowerShell
- praktis
- pendahulu
- sebelumnya
- sebelumnya
- primer
- swasta
- mungkin
- proses
- Diproses
- proses
- Produk
- melindungi
- protokol
- memberikan
- diterbitkan
- tujuan
- query
- acak
- agak
- Bacaan
- diterima
- baru
- daftar
- terkait
- mengandalkan
- terpencil
- pemindahan
- Dihapus
- diganti
- melaporkan
- laporan
- permintaan
- penelitian
- peneliti
- Sumber
- masing-masing
- tanggapan
- tanggung jawab
- ISTIRAHAT
- dihasilkan
- Hasil
- kembali
- ulasan
- memperlengkapi
- Run
- berjalan
- s
- sama
- Save
- disimpan
- penghematan
- melihat
- menjadwalkan
- dijadwalkan
- skema
- skema
- naskah
- SEA
- Kedua
- detik
- Bagian
- Sektor
- keamanan
- melihat
- terlihat
- terpilih
- seleksi
- mengirim
- mengirimkan
- mengirim
- Seri
- melayani
- Server
- Server
- layanan
- Layanan
- set
- beberapa
- hiu
- Kulit
- ditunjukkan
- Pertunjukkan
- mirip
- kesamaan
- Sederhana
- sejak
- situs web
- kecil
- So
- Perangkat lunak
- tenaga surya
- Solusi
- beberapa
- Space
- tertentu
- ditentukan
- penyebaran
- menumpuk
- Tahap
- pementasan
- standar
- dimulai
- mencuri
- Langkah
- Tangga
- dicuri
- berhenti
- tersimpan
- toko
- Tali
- selanjutnya
- Kemudian
- seperti itu
- Mendukung
- beralih
- simbol
- sistem
- sistem
- tabel
- diambil
- Dibutuhkan
- target
- ditargetkan
- penargetan
- target
- tugas
- tugas
- Teknis
- Technical Analysis
- telekomunikasi
- dari
- bahwa
- Grafik
- mereka
- Mereka
- diri
- kemudian
- Sana.
- Ini
- mereka
- hal
- Ketiga
- ini
- ancaman
- aktor ancaman
- Laporan Ancaman
- di seluruh
- Demikian
- menggagalkan
- Dasi
- waktu
- Judul
- untuk
- alat
- alat
- puncak
- transit
- mengangkut
- Kepercayaan
- Terpercaya
- dua
- mengetik
- khas
- khas
- Luar biasa
- bawah
- Serikat
- Arab Bersatu
- Uni Emirat Arab
- tidak seperti
- terpakai
- diperbarui
- upload
- Mengunggah
- atas
- URL
- us
- menggunakan
- bekas
- Pengguna
- Pengguna
- kegunaan
- menggunakan
- v1
- nilai
- Nilai - Nilai
- variabel
- variasi
- berbagai
- versi
- informasi versi
- Versi
- vertikal
- sangat
- melalui
- Korban
- korban
- Mengunjungi
- mengunjungi
- peringatan
- adalah
- cara
- we
- jaringan
- web server
- layanan web
- Situs Web
- situs web
- BAIK
- adalah
- yang
- sementara
- seluruh
- lebar
- akan
- Windows
- dengan
- dalam
- Word
- alur kerja
- kerja
- penulisan
- tertulis
- iya nih
- namun
- zephyrnet.dll